Del via


Overvågning af funktionsmåde i Microsoft Defender Antivirus

Gælder for:

Overvågning af funktionsmåde er en kritisk registrerings- og beskyttelsesfunktionalitet i Microsoft Defender Antivirus.

Overvåger procesfunktionsmåden for at registrere og analysere potentielle trusler baseret på funktionsmåden af programmer, tjenester og filer. I stedet for udelukkende at være afhængig af signaturbaseret registrering (som identificerer kendte malwaremønstre), fokuserer overvågning af adfærd på at observere, hvordan software fungerer i realtid. Her er, hvad det indebærer:

  1. Real-Time trusselsregistrering:

    • Hold løbende øje med processer, filsystemaktiviteter og interaktioner i systemet.
    • Defender Antivirus kan identificere mønstre, der er knyttet til malware eller andre trusler. Den søger f.eks. efter processer, der foretager usædvanlige ændringer af eksisterende filer, ændrer eller opretter ASEP-nøgler (automatic startup registry) og andre ændringer af filsystemet eller -strukturen.
  2. Dynamisk tilgang:

  • I modsætning til statisk, signaturbaseret registrering tilpasser adfærdsovervågning sig til nye trusler, der udvikler sig.

  • Microsoft Defender Antivirus bruger foruddefinerede mønstre og ser, hvordan software fungerer under udførelse. For malware, der ikke passer til et foruddefineret mønster, bruger Microsoft Defender Antivirus registrering af uregelmæssigheder.

  • Hvis et program viser mistænkelig adfærd (f.eks. forsøg på at ændre kritiske systemfiler), kan Microsoft Defender Antivirus træffe foranstaltninger for at forhindre yderligere skade og gendanne nogle tidligere malwarehandlinger.

Overvågning af adfærd forbedrer Defender Antiviruss mulighed for proaktivt at registrere nye trusler ved at fokusere på handlinger og adfærd i realtid i stedet for udelukkende at være afhængig af kendte signaturer.

Følgende funktioner afhænger af overvågning af funktionsmåde.

Antimalware:

  • Indikatorer, Filhash, tillad/bloker

Netværksbeskyttelse:

  • Indikatorer, IP-adresse/URL-adresse, tillad/bloker
  • Filtrering af webindhold, tillad/bloker

Bemærk!

Overvågning af funktionsmåde er beskyttet af beskyttelse mod ændring.

Hvis du vil deaktivere overvågning af funktionsmåde midlertidigt for at fjerne det fra billedet, skal du først aktivere fejlfindingstilstand, deaktivere Tamper Protection og derefter deaktivere overvågning af funktionsmåde.

Skift politikken for overvågning af funktionsmåde

I følgende tabel vises de forskellige måder at konfigurere overvågning af funktionsmåde på.

Administrationsværktøj Navn Links
Administration af sikkerhedsindstillinger Tillad overvågning af funktionsmåde Denne artikel
Intune Tillad overvågning af funktionsmåde Politikindstillinger for Windows Antivirus for Microsoft Defender Antivirus til Intune
CSP AllowBehaviorMonitoring CSP for Defender-politik
Configuration Manager lejer vedhæft Slå overvågning af funktionsmåde til Politikindstillinger for Windows Antivirus fra Microsoft Defender Antivirus for tilknyttede lejerenheder
Gruppepolitik Slå overvågning af funktionsmåde til Download Gruppepolitik indstillingsreferenceregneark til Windows 11 2023-opdatering (23H2)
PowerShell Set-Preference – DisableBehaviorMonitoring Set-MpPreference
WMI boolean DisableBehaviorMonitoring; MSFT_MpPreference klasse

Hvis du bruger Microsoft Defender til virksomheder, skal du se Gennemse eller redigere dine beskyttelsespolitikker i næste generation i Microsoft Defender til virksomheder.

Rediger indstillingerne for overvågning af funktionsmåde ved hjælp af PowerShell

Brug følgende kommando til at ændre indstillingerne for overvågning af funktionsmåde:

Set-MpPreference -DisableBehaviorMonitoring <true | false>
  • True deaktiverer overvågning af funktionsmåde.
  • False aktiverer overvågning af funktionsmåde.

Du kan få flere oplysninger under Set-MpPreference.

Forespørg om overvågningsstatus for funktionsmåde fra PowerShell

Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled

Hvis den returnerede værdi er true, aktiveres overvågning af funktionsmåde.

Forespørg om overvågningsstatus for funktionsmåden ved hjælp af Avanceret jagt

Du kan bruge AH (Advanced Hunting) til at forespørge om status for overvågning af funktionsmåde.

Kræver Microsoft Defender XDR, Microsoft Defender for Endpoint Plan 2 eller Microsoft Defender til virksomheder.

let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc

Fejlfinding af højt CPU-forbrug

Registreringer, der er relateret til overvågning af funktionsmåde, starter med "Funktionsmåde".

Når du undersøger højt CPU-forbrug i MsMpEng.exe, kan du midlertidigt deaktivere overvågning af funktionsmåde for at se, om problemerne fortsætter.

Du kan bruge Effektivitetsanalyse til Microsoft Defender Antivirus til at finde \path\process-, proces- og/eller filtypenavne, der bidrager til den høje CPU-udnyttelse. Du kan derefter føje disse elementer til Kontekstafhængig udeladelse.

Du kan få flere oplysninger under Effektivitetsanalyse for Microsoft Defender Antivirus.

Hvis du oplever et højt CPU-forbrug forårsaget af overvågning af funktionsmåde, skal du fortsætte med at foretage fejlfinding af problemet ved at gendanne hvert af følgende elementer i rækkefølge. Genaktiver overvågning af funktionsmåde efter gendannelse af hvert element for at identificere, hvor problemet kan være.

  1. platformopdatering
  2. programopdatering
  3. security intelligence-opdatering.

Hvis du stadig oplever problemer med højt CPU-forbrug, skal du kontakte Microsoft Support og have dine Klientanalyse-data klar.

Hvis overvågning af funktionsmåden ikke forårsager problemet, kan du bruge Effektivitetsanalyse til Microsoft Defender Antivirus til at indsamle logoplysninger. Indsaml to forskellige logge ved hjælp af a -c og a -a. Hav disse oplysninger klar, når du kontakter Microsoft Support.

Du kan få flere oplysninger under Dataindsamling til avanceret fejlfinding i Windows.